owasp :: 해킹 기법

이주희·2022년 4월 24일
2

CS

목록 보기
22/66

[owasp top 10]

XSS(Cross Site Scripting)

  • 공격자가 상대방의 브라우저에 스크립트가 실행되도록 해서 사용자의 세션을 가로채거나, 웹사이트를 변조하거나, 악의적 콘텐츠를 삽입하거나, 피싱 공격을 진행하는 것이다.

CSRF

  • 사이트를 가로질러서 요청을 위조하는 것
  • 권한을 도용해서 수정, 삭제, 등록 등의 요청을 하게 만드는 공격이다.

SQL-Injection: SQL 삽입 공격

  • 임의의 SQL문을 주입하고 실행되게 하여 DB가 비정상적인 동작을 하도록 조작하는 행위이다.

예시

로그인 과정은 아래와 같이 이루어진다.

1) 브라우저에서 로그인 화면에 들어가서 아이디와 비밀번호를 입력하고 로그인하기 버튼을 클릭해서 API 요청을 한다.
2) 백엔드에서 검증을 하고 accessToken을 넘겨준다.

백엔드에서 token을 넘겨주는 코드를 작성할 때 아래처럼 작성을 했다고 가정해보자!

if(email === a@a.com && password === 1234) {
	// accessToken을 프론트에 보내줘
}

여기에 아래처럼 비밀번호에 항상 true가 되게 입력하면 비밀번호를 몰라도 로그인에 성공하게 할 수 있게 되고 token을 가져갈 수 있다..!

qqq || 1===1

profile
🍓e-juhee.tistory.com 👈🏻 이사중

0개의 댓글